Специалисты выявили в Erlang/OTP серьёзную уязвимость (CVE-2025-32433) с оценкой CVSS 10.0. Она предоставляет злоумышленникам возможность удалённого выполнения кода без необходимости аутентификации. Об этом сообщил руководитель группы по защите инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин.
Erlang/OTP представляет собой язык программирования и платформу для создания высоконадежных, масштабируемых и отказоустойчивых приложений, функционирующих в реальном времени. Эта технология служит основой для множества систем, требующих высокой доступности.
Указывается, что уязвимость затрагивает SSH-сервер Erlang/OTP. Эксперты полагают, что злоумышленники могут использовать её для полного контроля над системой.
Сергей Полунин подчеркнул, что подобные уязвимости требуют немедленной установки патчей, которые, как правило, становятся доступны сразу после объявления о риске.
«Проблемы возникают, когда уязвимость обнаруживается в каком-либо продукте с открытым исходным кодом, у которого нет единственного разработчика, способного быстро решить проблему. В таких случаях обычно появляются рекомендации по компенсирующим мерам в сообществе, но, к сожалению, об этом редко узнает даже самый совершенный сканер безопасности», – добавил Полунин.
Ранее редакция IT Speaker сообщала, что злоумышленники регулярно стремятся выявить уязвимости в ИТ-инфраструктуре, чтобы скачать важные данные или получить доступ к финансам и документам организаций. Согласно данным экспертов, на первом месте среди уязвимостей стоит отсутствие блокировки при переборе паролей и пользователей на веб-сайтах.
В Chrome 136 устранят 20-летнюю уязвимость
